Wichtige Sicherheitskonzepte Erforderliche Berechtigungen Bewährte Methoden Nächste Schritte

Sicherheit und Berechtigungen

Lambda Managed Instances verwenden Kapazitätsanbieter als Vertrauensgrenzen. Funktionen werden in Containern innerhalb dieser Instanzen ausgeführt, aber Container bieten keine Sicherheitsisolierung zwischen Workloads. Alle Funktionen, die demselben Kapazitätsanbieter zugewiesen sind, müssen gegenseitig vertrauenswürdig sein.

Wichtige Sicherheitskonzepte

Kapazitätsanbieter: Die Sicherheitsgrenze, die Vertrauensstufen für Lambda-Funktionen definiert
Container-Isolierung: Container stellen keine Sicherheitsgrenze dar. Verlassen Sie sich nicht auf sie, wenn es um die Sicherheit zwischen nicht vertrauenswürdigen Workloads geht
Vertrauenstrennung: Trennen Sie Workloads, denen nicht gegenseitig vertraut wird, indem Sie unterschiedliche Kapazitätsanbieter verwenden

Erforderliche Berechtigungen

PassCapacityProvider Aktion

Benutzer benötigen die lambda:PassCapacityProvider Erlaubnis, Kapazitätsanbietern Funktionen zuzuweisen. Diese Genehmigung dient als Sicherheitsschleuse und stellt sicher, dass nur autorisierte Benutzer Funktionen bestimmten Kapazitätsanbietern zuweisen können.

Kontoadministratoren kontrollieren über die lambda:PassCapacityProvider IAM-Aktion, welche Funktionen bestimmte Kapazitätsanbieter nutzen können. Diese Aktion ist erforderlich, wenn:

Funktionen erstellen, die Lambda Managed Instances verwenden
Aktualisierung von Funktionskonfigurationen zur Verwendung eines Kapazitätsanbieters
Bereitstellung von Funktionen über die Infrastruktur als Code

Beispiel für eine IAM-Richtlinie


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

Serviceverknüpfte Rolle

AWS Lambda verwendet die AWSServiceRoleForLambda serviceverknüpfte Rolle, um die ec2-Ressourcen von Lambda Managed Instances bei Ihren Kapazitätsanbietern zu verwalten.

Bewährte Methoden

Nach Vertrauensstufe trennen: Erstellen Sie verschiedene Kapazitätsanbieter für Workloads mit unterschiedlichen Sicherheitsanforderungen
Verwenden Sie aussagekräftige Namen: Benennen Sie Kapazitätsanbieter, um deren Verwendungszweck und Vertrauensstufe eindeutig anzugeben (z. B.,,production-trusted) dev-sandbox
Least Privilege anwenden: Erteilen Sie PassCapacityProvider Berechtigungen nur für die erforderlichen Kapazitätsanbieter
Nutzung überwachen: Wird verwendet AWS CloudTrail , um die Zuweisungen und Zugriffsmuster von Kapazitätsanbietern zu überwachen

Nächste Schritte

Erfahren Sie mehr über Kapazitätsanbieter für Lambda Managed Instances
Skalierung für Lambda Managed Instances verstehen
Konfigurieren Sie die VPC-Konnektivität für Ihre Kapazitätsanbieter
Lesen Sie laufzeitspezifische Anleitungen für Java, Node.js und Python

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Skalierung

Rolle des Operators